当我们尝试通过 AWS Cognito 通过 SSO 登录我们的应用程序时遇到问题。 SSO 通过 SAML IdP 为给定用户池配置。如果用户在登录其 Windows 帐户时登录给定的 Azure AD,然后尝试登录应用程序,则会显示以下错误消息: “错误 - AADSTS75011 用户通过服务进行身份验证的身份验证方法与请求的身份验证方法 AuthnContextClassRef 不匹配”。
在研究可能的解决方案时,我无法找到更改 Cognito SAML 请求以修改 AuthnContext 的方法,因此将其设置为“urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified”或者完全删除它。
我们正在使用 aws/aws-sdk-php 来通过 Cognito 启动身份验证,但我没有看到可以传递的参数或其他内容来操纵此安全设置。
如果有人可以提供一些如何解决此问题的说明或指导,我们将不胜感激。
提前致谢!
取消选中身份提供商上的“向此提供商签署 SAML 请求”,这将停止声明 NameID 类型